크롬 버그, 사이트들이 음성 및 영상을 알림 없이도 녹음/녹화할 수 있도록 허용

크롬 버그, 사이트들이 음성 및 영상을 알림 없이도 녹음/녹화할 수 있도록 허용

Chrome Bug Allows Sites to Record Audio and Video Without a Visual Indicator

구글 크롬 브라우저에서 웹사이트들이 별도의 알림 없이 음성 및 비디오를 녹음/녹화할 수 있도록 허용하는 버그가 발견되었습니다. 

이 버그를 악용하기 위해서는 악성 웹사이트가 사용자의 음성 및 영상 컴포넌트에 접근하도록 허가를 받아야 하긴 하지만, 이 이슈가 사용자의 음성 및 영상을 캡쳐하기 위해 방법이 될 수 있는 만큼 다양하게 악용될 수 있는 것으로 보입니다. 

이 버그의 핵심 요소는 크롬이 오디오나 비디오 스트림을 기록할 때 보통 보여주는 “빨간 원과 점” 아이콘입니다. 보안전문가는 Bar-Zik은 WebRTC 코드를 실행하는 웹사이트를 살펴보던 중 이 버그를 발견했다고 전했습니다.

WebRTC는 실시간으로 인터넷을 통해 오디오 및 비디오 컨텐츠를 스트리밍하는 프로토콜입니다. 스트리밍을 위해서는 사용자가 웹사이트에 오디오/비디오 컴포넌트에 대한 접근 권한을 부여해야 합니다.

공격 코드는 크롬 팝업을 통해 실행 돼

Bar-Zik은 녹음/녹화 작업을 하는 코드가 권한이 부여 된 원래 탭에서만 실행되지 않아도 된다는 사실을 발견했습니다. 

오디오 및 비디오 데이터에 대한 접근 권한이 전체 도메인에 부여 되었기 때문에, 헤드가 없는 크롬 창(팝업)을 실행해 오디오 및 비디오를 기록할 수 있는 코드를 실행할 수 있었습니다. 크롬은 빨간색 원과 점 아이콘을 창 탭에 표시하기 때문에, 헤드가 없는 윈도우에는 탭 바가 없어 이 아이콘이 노출되지 않습니다. 

해당 버그를 구글에 제보했지만, 구글측은 보안이슈라고 판단하지 않아 긴급패치를 지원하지 않을 예정이라고 밝혔습니다. 그 이유는 이 공격이 성공하기 위해서는 사용자가 접근권한을 허용해 줘야 하기 때문입니다. 그렇기 때문에 공격으로부터 안전하려면, 사용자들은 웹사이트에서 요구하는 권한을 부여할 때 주의를 기울여야 할 것입니다.

출처 :

https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/

https://bugs.chromium.org/p/chromium/issues/detail?id=709952